博士公司基于ISO27001的信息安全管理体系诊断与分析
发布时间:2019-08-28 20:25
【摘要】:信息安全这个概念本身包括的范围非常广泛。从国家的军事、政治、经济政策等机密安全,到防范青少年对不良信息的浏览以及个人信息的泄露等都属于信息安全的范畴。如今,在这个信息传播高度发达的时代,对于一个企业来说,信息,尤其是敏感信息很大程度上决定了企业的兴衰甚至是生死存亡,它已经悄然地变为了一项企业资产。它和其它资产一样重要,对企业具有重要的价值,因此理应需要受到重视和保护。 本文首先对信息安全的基本概念、国际上公认最佳信息安全管理ISO27001模型体系进行了综合描述。然后以博士公司①这家国内领先的第三方理财机构为例,通过与各业务职能部门的访谈,并结合ISO27001模型体系要求设计调查问卷以及评估工具来诊断博士公司目前所暴露出来的信息安全问题。另外,,根据原因诊断结果并结合博士公司自身业务发展需求,制定了一系列的解决方案。 最后,本文希望通过国际上通用的ISO27001安全管理体系在博士公司的实践,着重分析博士公司在信息安全管理上所存在的诸多问题。通过系统的诊断分析,找出若干风险控制节点,并结合组织的自身情况,针对每个风险控制节点一一拟定了解决方案。本研究不但能够丰富信息安全管理的相关理论,而且研究成果也可以为同行业提高信息安全水平提供借鉴。
【图文】:
1.3.2 技术路线本文将从信息安全管理的整体框架、组织结构、资产状况、流程制度以及技术力量等方面评估博士公司的信息安全管理现状,结合 ISO27001 信息安全管理模型来找出企业目前所存在的信息安全管理问题,着重分析这些问题所形成的背景和原因,并根据此类问题的风险等级,选出博士公司目前迫切所需要解决的一系列问题并提出基于 ISO27001 模型所提出的解决方案或改善措施。
体系模型和研究的成果,为本文的撰写提供了丰富的理论基础和资料素材,在本章中将对部分理论研究成果和行业标准进行归纳和提炼。2.1 ISO27001 简介ISO27000 是信息安全方面国际国内公认的最佳的管理体系集。目前 ISO27000 系列标准已经基本清晰,其框架也于日益完善。整个体系集中不仅拥有 ISO27002 安全管理使用守则、IS027003 实施指南这样的子标准还包括 ISO27011、ISO27012 这样的通信业和金融保险业的行业标准。然而在整个体系中,不管是子标准的建立还是行业标准的颁布,无一例外的都是参照整个 ISO27000 的主体系 IS027001 来制定,它的前生BS7799 由英国标准化系协会 BSI 在 1992 首次在英国作为行业标准发布,经过数次修改在 2005 年正式更名为 ISO27001。国内的一些安全标准如等级保护、GB/T、以及一系列行业标准也大都参照了 ISO27001 来制定。
【学位授予单位】:上海外国语大学
【学位级别】:硕士
【学位授予年份】:2014
【分类号】:G203
本文编号:2530367
【图文】:
1.3.2 技术路线本文将从信息安全管理的整体框架、组织结构、资产状况、流程制度以及技术力量等方面评估博士公司的信息安全管理现状,结合 ISO27001 信息安全管理模型来找出企业目前所存在的信息安全管理问题,着重分析这些问题所形成的背景和原因,并根据此类问题的风险等级,选出博士公司目前迫切所需要解决的一系列问题并提出基于 ISO27001 模型所提出的解决方案或改善措施。
体系模型和研究的成果,为本文的撰写提供了丰富的理论基础和资料素材,在本章中将对部分理论研究成果和行业标准进行归纳和提炼。2.1 ISO27001 简介ISO27000 是信息安全方面国际国内公认的最佳的管理体系集。目前 ISO27000 系列标准已经基本清晰,其框架也于日益完善。整个体系集中不仅拥有 ISO27002 安全管理使用守则、IS027003 实施指南这样的子标准还包括 ISO27011、ISO27012 这样的通信业和金融保险业的行业标准。然而在整个体系中,不管是子标准的建立还是行业标准的颁布,无一例外的都是参照整个 ISO27000 的主体系 IS027001 来制定,它的前生BS7799 由英国标准化系协会 BSI 在 1992 首次在英国作为行业标准发布,经过数次修改在 2005 年正式更名为 ISO27001。国内的一些安全标准如等级保护、GB/T、以及一系列行业标准也大都参照了 ISO27001 来制定。
【学位授予单位】:上海外国语大学
【学位级别】:硕士
【学位授予年份】:2014
【分类号】:G203
【参考文献】
相关期刊论文 前9条
1 刘霞;;基于ISO27001的信息安全管理体系规划[J];电脑知识与技术;2010年10期
2 杨辉;;运用PDCA循环法完善信息安全管理体系[J];中国公共安全(学术版);2006年02期
3 杜国栋;;企业内部控制及风险管理解析[J];经济研究导刊;2010年02期
4 吴辉;;浅谈企业信息安全管理方案[J];科技情报开发与经济;2010年25期
5 春增军;;基于ISO27001的企业信息安全保障体系的构建设想[J];情报杂志;2009年05期
6 陈婉玲;杨文杰;;ISACA信息系统审计准则及其启示[J];审计研究;2006年S1期
7 吕玉伟;;遵循SOX法案中的IT系统和IT审计[J];中国内部审计;2008年05期
8 陆预林;;如何进行企业信息安全目标管理设定[J];企业科技与发展;2010年14期
9 胡灵娟;;大型数据中心ISO27001信息安全管理体系贯标认证实践[J];中国金融电脑;2012年05期
本文编号:2530367
本文链接:https://www.wllwen.com/jingjilunwen/zhengzhijingjixuelunwen/2530367.html